この文書はRFC 5006の日本語訳(和訳)です。 この文書の翻訳内容の正確さは保障できないため、 正確な知識や情報を求める方は原文を参照してください。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、誤りの指摘は適切です。 この文書の配布は元のRFC同様に無制限です。
Network Working Group J. Jeong, Ed. Request for Comments: 5006 ETRI/University of Minnesota Category: Experimental S. Park SAMSUNG Electronics L. Beloeil France Telecom R&D S. Madanapalli Ordyn Technologies September 2007 IPv6 Router Advertisement Option for DNS Configuration DNS設定のためのIPv6ルータ広告オプション Status of This Memo この文書の状態 This memo defines an Experimental Protocol for the Internet community. It does not specify an Internet standard of any kind. Discussion and suggestions for improvement are requested. Distribution of this memo is unlimited. この文書はインターネットコミュニティのための実験プロトコルを定義し ます。これはインターネット標準を指定しません。議論と改善提案が要求 されています。このメモの配布は無制限です。 Abstract 概要 This document specifies a new IPv6 Router Advertisement option to allow IPv6 routers to advertise DNS recursive server addresses to IPv6 hosts. この文書は、IPv6ルータがDNS再帰サーバアドレスをIPv6ホス トに広告するのを許すための新しいIPv6ルータ広告オプションを指定 します。 Table of Contents 目次 1. Introduction 1. はじめに 1.1. Applicability Statements 1.1. 適用性宣言 1.2. Coexistence of RDNSS Option and DHCP Option 1.2. RDNSSオプションとDHCPオプションの共存 2. Definitions 2. 定義 3. Terminology 3. 用語 4. Overview 4. 概要 5. Neighbor Discovery Extension 5. 隣人探索拡張 5.1. Recursive DNS Server Option 5.1. 再帰DNSサーバオプション 5.2. Procedure of DNS Configuration 5.2. DNS設定手順 5.2.1. Procedure in IPv6 Host 5.2.1. IPv6ホストの手順 6. Implementation Considerations 6. 実装の考察 6.1. DNS Server List Management 6.1. DNSサーバリスト管理 6.2. Synchronization between DNS Server List and Resolver Repository 6.2. DNSサーバリストとリゾルバ倉庫の同期 7. Security Considerations 7. セキュリティの考察 8. IANA Considerations 8. IANAの考慮 9. Acknowledgements 9. 謝辞 10. References 10. 参考文献 10.1. Normative References 10.1. 参照する参考文献 10.2. Informative References 10.2. 有益な参考文献 1. Introduction 1. はじめに Neighbor Discovery (ND) for IP Version 6 and IPv6 Stateless Address Autoconfiguration provide ways to configure either fixed or mobile nodes with one or more IPv6 addresses, default routers and some other parameters [2][3]. To support the access to additional services in the Internet that are identified by a DNS name, such as a web server, the configuration of at least one recursive DNS server is also needed for DNS name resolution. IPバージョン6とIPv6状態なしアドレス自動設定のための近隣探索 (ND)は固定か移動ノードにIPv6アドレスとデフォルトルータと他の パラメタの設定をする方法を提供します[2][3]。インターネットのウェブサー バなどのDNS名で特定されるサービスへのアクセスを可能にするためには、 名前解決のために少なくとも1つの再帰DNSサーバの設定が必要です。 It is infeasible for nomadic hosts, such as laptops, to be configured manually with a DNS resolver each time they connect to a different wireless LAN (WLAN) such as IEEE 802.11 a/b/g [12]-[15]. Normally, DHCP [6]-[8] is used to locate such resolvers. This document provides an alternate, experimental mechanism which uses a new IPv6 Router Advertisement (RA) option to allow IPv6 routers to advertise DNS recursive server addresses to IPv6 hosts. ラップトップなどの移動ホストにとって、IEEE 802.11 a/b/g [12]-[15]の様 な異なる無線LAN(WLAN)に接続するたびにDNSリゾルバを手動設定する のは事実上不可能です。通常、DHCP[6]-[8]がそのようなリゾルバの場所 を見つけるために使用されています。この文書はIPv6ルータがDNS再 帰サーバアドレスをIPv6ホストに広告する事を許すための新しいIPv 6ルータ広告(RA)オプションを使用する、代替の、実験的機構を供給します。 1.1. Applicability Statements 1.1. 適用性宣言 The only standards-track DNS configuration mechanism in the IETF is DHCP, and its support in hosts and routers is necessary for reasons of interoperability. IETFにおける唯一の標準化中のDNS設定方法はDHCPで、ホストと ルータでのサポートが相互運用性の理由で必要です。 RA-based DNS configuration is a useful, optional alternative in networks where an IPv6 host's address is autoconfigured through IPv6 stateless address autoconfiguration, and where the delays in acquiring server addresses and communicating with the servers are critical. RA-based DNS configuration allows the host to acquire the nearest server addresses on every link. Furthermore, it learns these addresses from the same RA message that provides configuration information for the link, thereby avoiding an additional protocol run. This can be beneficial in some mobile environments, such as with Mobile IPv6 [10]. ルータ広告によるDNS設定は、IPv6ホストアドレスがIPv6状態な しアドレス自動生成により設定され、サーバアドレスを学習しサーバと通信 する遅延が致命的なネットワークで有用な代用選択肢です。ルータ広告によ るDNS設定ははホストが全てのリンクで最も近いサーバアドレスを学習で きます。その上、リンク設定情報を提供するのと同じルータ広告メッセージ からこれらのアドレスを学ぶので、その結果、追加のプロトコル動作を避け ます。これはモバイルIPv6[10]などのいくつかのモバイル環境で有益な 場合があります。 The advantages and disadvantages of the RA-based approach are discussed in [9] along with other approaches, such as the DHCP and well-known anycast addresses approaches. DHCPや既知エニキャストアドレスなど他の方法も加えての、ルータ広告 による方法の利点と欠点の議論は[9]でされています。 1.2. Coexistence of RDNSS Option and DHCP Option 1.2. RDNSSオプションとDHCPオプションの共存 The RDNSS (Recursive DNS Server) option and DHCP option can be used together [9]. To order the RA and DHCP approaches, the O (Other stateful configuration) flag can be used in the RA message [2]. If no RDNSS option is included in the RA messages, an IPv6 host may perform DNS configuration through DHCPv6 [6]-[8] regardless of whether the O flag is set or not. RDNSS(再帰DNSサーバ)オプションとDHCPオプションを一緒に使 用できます[9]。ルータ広告とDHCPの方法を指定するために、ルータ広告 メッセージのO(他の状態あり構成)フラグを使用できます。もしRDNSS オプションがRAメッセージに全く含まれていないなら、Oフラグが設定さ れるかどうかにかかわらず、IPv6ホストはDHCPv6[6]-[8]を通して DNS設定を実行するかもしれません。 2. Definitions 2. 定義 The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [1]. この文書のキーワード"MUST"と"MUST NOT"と"REQUIRED"と"SHALL"と"SHALL NOT"と"SHOULD"と"SHOULD NOT"と"RECOMMENDED"と"MAY"と"OPTIONAL"は[1] で記述されるように解釈します。 3. Terminology 3. 用語 This document uses the terminology described in [2] and [3]. In addition, four new terms are defined below: この文書は[2]と[3]で説明された用語を使用します。さらに、4つの用語 が以下で定義されます: o Recursive DNS Server (RDNSS): Server which provides a recursive DNS resolution service for translating domain names into IP addresses as defined in [4] and [5]. o 再帰DNSサーバ(RDNSS):[4]と[5]で定義されるドメイン名を IPアドレスに翻訳する再帰DNS解決サービスを提供するサーバ。 o RDNSS Option: IPv6 RA option to deliver the RDNSS information to IPv6 hosts [2]. o RDNSSオプション:RDNSS情報をIPv6ホストに提供する IPv6のルータ広告オプション[2]。 o DNS Server List: A data structure for managing DNS Server Information in the IPv6 protocol stack in addition to the Neighbor Cache and Destination Cache for Neighbor Discovery [2]. o DNSサーバリスト:IPv6プロトコルスタックで、近隣探索の近隣 キャッシュと宛先キャッシュに加え、DNSサーバ情報を管理するため のデータ構造[2]。 o Resolver Repository: Configuration repository with RDNSS addresses that a DNS resolver on the host uses for DNS name resolution; for example, the Unix resolver file (i.e., /etc/resolv.conf) and Windows registry. o リゾルバ倉庫:ホスト上のDNSリゾルバがDNS名前解決に使用する RDNSSアドレスの設定の置き場所;例えば、Unixのリゾルバ ファイル(例えば、/etc/resolv.conf)やWindowsのレジストリです。 4. Overview 4. 概要 This document defines a new ND option called RDNSS option that contains the addresses of recursive DNS servers. Existing ND transport mechanisms (i.e., advertisements and solicitations) are used. This works in the same way that hosts learn about routers and prefixes. An IPv6 host can configure the IPv6 addresses of one or more RDNSSes via RA messages periodically sent by a router or solicited by a Router Solicitation (RS). この文書は再帰DNSサーバのアドレスを含むRDNSSオプションと呼ば れる新しい近隣探索のオプションを定義します。既存の近隣探索転送機構 (すなわち、広告と要請)が使用されています。これはホストがルータとプレ フィックスを学ぶのと同じように動作します。IPv6ホストは定期的に ルータから送られるかルータ要請(RS)で請求したルータ広告メッセージの 1つ以上のRDNSSでIPv6アドレスを設定できます。 Through the RDNSS option, along with the prefix information option based on the ND protocol ([2] and [3]), an IPv6 host can perform network configuration of its IPv6 address and RDNSS simultaneously without needing a separate message exchange for the RDNSS information. The RA option for RDNSS can be used on any network that supports the use of ND. 近隣探索プロトコルのプレフィックス情報オプション([2]と[3])に伴う RDNSSオプションにより、RDNSS情報のための別の情報交換処理を 必要とせずに、IPv6ホストは同時にIPv6アドレスとRDNSSの ネットワーク設定を実行できます。近隣探索が使用可能な全てのネットワー クでRDNSSのためのルータ広告オプションを使用できます。 This approach requires RDNSS information to be configured in the routers sending the advertisements. The configuration of RDNSS addresses in the routers can be done by manual configuration. The automatic configuration or redistribution of RDNSS information is possible by running a DHCPv6 client on the router [6]-[8]. The automatic configuration of RDNSS addresses in routers is out of scope for this document. この方法は広告を送るルータでRDNSS情報の設定を必要とします。手動 設定でルータにRDNSSアドレスの設定ができます。RDNSS情報の自 動設定か再配布はルータでDHCPv6クライアントを動かすことで可能で す[6]-[8]。ルータのRDNSSアドレスの自動設定はこの文書の範囲外です。 5. Neighbor Discovery Extension 5. 隣人探索拡張 The IPv6 DNS configuration mechanism in this document needs a new ND option in Neighbor Discovery: the Recursive DNS Server (RDNSS) option. この文書のIPv6のDNS設定機構は近隣探索の新しいオプションを必要と します:再帰DNSサーバ(RDNSS)オプション。 5.1. Recursive DNS Server Option 5.1. 再帰DNSサーバオプション The RDNSS option contains one or more IPv6 addresses of recursive DNS servers. All of the addresses share the same lifetime value. If it is desirable to have different lifetime values, multiple RDNSS options can be used. Figure 1 shows the format of the RDNSS option. RDNSSオプションは1つ以上の再帰DNSサーバのIPv6アドレスを含 んでいます。アドレスのすべてが同じ寿命を共有します。異なる寿命が望まし いなら、複数のRDNSSオプションを使用できます。図1はRDNSSオプ ションの書式を示しています。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Lifetime | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | : Addresses of IPv6 Recursive DNS Servers : | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Figure 1: Recursive DNS Server (RDNSS) Option Format 図1:再帰DNSサーバ(RDNSS)オプション形式 Fields: フィールド: Type 8-bit identifier of the RDNSS option type as assigned by the IANA: 25 種別 IANAに割当てられたRDNSSオプション種別の8ビッ ト識別子:25 Length 8-bit unsigned integer. The length of the option (including the Type and Length fields) is in units of 8 octets. The minimum value is 3 if one IPv6 address is contained in the option. Every additional RDNSS address increases the length by 2. The Length field is used by the receiver to determine the number of IPv6 addresses in the option. 長さ 8ビットの符号なし整数。オプションの長さ(種別と長さ フィールドを含む)は8オクテット単位です。最小値は1 つのIPv6アドレスを含む場合の3です。RDNSSア ドレスの追加は長さを2つづ増加させます。長さフィール ドは受信者がIPv6アドレスの数を決定するのに使用し ます。 Lifetime 32-bit unsigned integer. The maximum time, in seconds (relative to the time the packet is sent), over which this RDNSS address MAY be used for name resolution. Hosts MAY send a Router Solicitation to ensure the RDNSS information is fresh before the interval expires. In order to provide fixed hosts with stable DNS service and allow mobile hosts to prefer local RDNSSes to remote RDNSSes, the value of Lifetime should be at least as long as the Maximum RA Interval (MaxRtrAdvInterval) in RFC 4861, and be at most as long as two times MaxRtrAdvInterval; Lifetime SHOULD be bounded as follows: MaxRtrAdvInterval <= Lifetime <= 2*MaxRtrAdvInterval. A value of all one bits (0xffffffff) represents infinity. A value of zero means that the RDNSS address MUST no longer be used. 寿命 32ビット符号なし整数。RDNSSアドレスが名前解決 に使われるかもしれない(MAY)、秒単位の、(パケット送信 時刻を基準した)最大の時間。ホストは、期限切れ前にRD NSS情報が確実に更新されるようにルータ要請を送るか もしれません(MAY)。安定したDNSサービスを固定ホスト に提供し、モバイルホストが遠隔地のRDNSSより近くの RDNSSを優先するのを許容するために、寿命値は、RFC 4861の最大ルータ広告間隔(MaxRtrAdvInterval)よりも長く、 MaxRtrAdvIntervalの2倍くらい長いべきです。寿命は次の 範囲にあるべきです(SHOULD):MaxRtrAdvInterval <= 寿命 <= 2*MaxRtrAdvInterval。全て1の値(0xffffffff)は無限で す。ゼロの値はもうRDNSSアドレスを使用してはいけな い(MUST)ことを意味します。 Addresses of IPv6 Recursive DNS Servers One or more 128-bit IPv6 addresses of the recursive DNS servers. The number of addresses is determined by the Length field. That is, the number of addresses is equal to (Length - 1) / 2. IPv6再帰DNSサーバアドレス 再帰DNSサーバの1つ以上の128ビットIPv6アド レス。アドレスの数は長さフィールドから決定しています。 すなわち、アドレスの数は(長さ-1)/2と等しいです。 5.2. Procedure of DNS Configuration 5.2. DNS設定手順 The procedure of DNS configuration through the RDNSS option is the same as with any other ND option [2]. RDNSSオプションによるDNS設定手順は他の近隣探索オプションと 同じです[2]。 5.2.1. Procedure in IPv6 Host 5.2.1. IPv6ホストの手順 When an IPv6 host receives an RDNSS option through RA, it checks whether the option is valid. IPv6ホストがルータ広告でRDNSSオプションを受信すると、オプ ションが有効か検査します。 o If the RDNSS option is valid, the host SHOULD copy the option's value into the DNS Server List and the Resolver Repository as long as the value of the Length field is greater than or equal to the minimum value (3). The host MAY ignore additional RDNSS addresses within an RDNSS option and/or additional RDNSS options within an RA when it has gathered a sufficient number of RDNSS addresses. o RDNSSオプションが有効で、長さフィールドの値が最小値(3)以 上であれば、ホストはオプションの値をDNSサーバリストとリゾルバ 倉庫に複写すべきです(SHOULD)。ホストは十分な数のRDNSSアドレ スを集めたとき、RDNSSオプションの残りRDNSSアドレスや、 ルータ広告の残りのRDNSSオプションを無視するかもしれません(MAY)。 o If the RDNSS option is invalid (e.g., the Length field has a value less than 3), the host SHOULD discard the option. o RDNSSオプションが無効な場合(例えば、長さフィールドの値が3未 満)ならば、ホストオプションを捨てるべきです(SHOULD)。 6. Implementation Considerations 6. 実装の考察 Note: This non-normative section gives some hints for implementing the processing of the RDNSS option in an IPv6 host. 注意:この非標準の章は、IPv6ホストでのRDNSSオプションの処理 の実装する際のいくつかのヒントを与えます。 For the configuration and management of RDNSS information, the advertised RDNSS addresses can be stored and managed in both the DNS Server List and the Resolver Repository. RDNSS情報の構成と管理において、DNSサーバリストとリゾルバ倉 庫の両方に、広告のRDNSSアドレスを保存し対処します。 In environments where the RDNSS information is stored in user space and ND runs in the kernel, it is necessary to synchronize the DNS Server List of RDNSS addresses in kernel space and the Resolver Repository in user space. For the synchronization, an implementation where ND works in the kernel should provide a write operation for updating RDNSS information from the kernel to the Resolver Repository. One simple approach is to have a daemon (or a program that is called at defined intervals) that keeps monitoring the lifetime of RDNSS addresses all the time. Whenever there is an expired entry in the DNS Server List, the daemon can delete the corresponding entry from the Resolver Repository. RDNSS情報がユーザ空間に格納され、近隣探索がカーネルで動作する環 境で、カーネル空間のRDNSSアドレスのDNSサーバリストとユーザ空 間のリゾルバ倉庫を連動させる必要があります。同期のため、カーネルで近 隣探索が動作する実装で、RDNSS情報を更新するためにカーネルからリ ゾルバ倉庫へ書込み操作を供給すべきです。1つの簡潔な解決策はデーモン (あるいは定期的に呼び出されるプログラム)により常にRDNSSアドレ スの寿命をモニタする事です。期限切れ項目があると、デーモンはリゾルバ 倉庫から対応する項目を削除できます。 6.1. DNS Server List Management 6.1. DNSサーバリスト管理 The kernel or user-space process (depending on where RAs are processed) should maintain a data structure called a DNS Server List which keeps the list of RDNSS addresses. Each entry in the DNS Server List consists of an RDNSS address and Expiration-time as follows: カーネルかユーザ空間プロセス(Rルータ広告が処理されるところ)で、RD NSSリストを保持するDNSサーバリストと呼ばれるデータ構造を管理す るはずです。DNSサーバリストの各項目は以下のRDNSSアドレスと期 限から成ります: o RDNSS address: IPv6 address of the Recursive DNS Server, which is available for recursive DNS resolution service in the network advertising the RDNSS option; such a network is called site in this document. o RDNSSアドレス:RDNSSオプションを広告するネットワークで再 帰DNS解決サービスを提供可能な再帰DNSサーバのIPv6アドレス: この文書でこのようなネットワークをサイトと呼びます。 o Expiration-time: The time when this entry becomes invalid. Expiration-time is set to the value of the Lifetime field of the RDNSS option plus the current system time. Whenever a new RDNSS option with the same address is received, this field is updated to have a new expiration time. When Expiration-time becomes less than the current system time, this entry is regarded as expired. o 期限:この項目が無効になる時刻。期限はRDNSSオプションの寿命 フィールドと現在のシステム時刻の値を加算して設定します。同じアド レスの新しいRDNSSオプションを受信したときは、新しい期限を過 すためにこのフィールドを更新します。もし期限時刻が現在のシステム 時刻より過去になるなら、この項目は期限切れと見なされます。 Note: An RDNSS address MUST be used only as long as both the RA router lifetime and the RDNSS option lifetime have not expired. The reason is that the RDNSS may not be currently reachable or may not provide service to the host's current address (e.g., due to network ingress filtering [16][17]). 注意:RDNSSアドレスはルータ広告のルータの期限とRDNSSオプ ションの期限の両方が切れない間だけ使用できます(MUST)。この理由は、 現在のホストアドレスで、RDNSSが到達できないかサービスを供給 できないかもしれないという(例えば、ネットワーク侵入フィルタリング [16][17]によって)。 6.2. Synchronization between DNS Server List and Resolver Repository 6.2. DNSサーバリストとリゾルバ倉庫の同期 When an IPv6 host receives the information of multiple RDNSS addresses within a site through an RA message with RDNSS option(s), it stores the RDNSS addresses (in order) into both the DNS Server List and the Resolver Repository. The processing of the RDNSS option(s) included in an RA message is as follows: IPv6ホストがRDNSSオプションを含むルータ広告メッセージにより サイト内の複数のRDNSSアドレスの情報を受け取るとき、IPv6ホス トはDNSサーバリストとリゾルバ倉庫の両方にRDNSSアドレスを(順番 に)保存します。ルータ広告メッセージに含まれるRDNSSオプションの処 理は以下の通りです: Step (a): Receive and parse the RDNSS option(s). For the RDNSS addresses in each RDNSS option, perform Step (b) through Step (d). Note that Step (e) is performed whenever an entry expires in the DNS Server List. 手順(a):RDNSSオプションを受信し分析します。各RDNSSオプ ションのRDNSSアドレスに対し、手順(b)から手順(d)を実行してくだ さい。DNサーバリストの項目の期限が切れるときに手順(e)が実行され ることに注意してください。 Step (b): For each RDNSS address, check the following: If the RDNSS address already exists in the DNS Server List and the RDNSS option's Lifetime field is set to zero, delete the corresponding RDNSS entry from both the DNS Server List and the Resolver Repository in order to prevent the RDNSS address from being used any more for certain reasons in network management, e.g., the breakdown of the RDNSS or a renumbering situation. The processing of this RDNSS address is finished here. Otherwise, go to Step (c). 手順(b):各RDNSSアドレスに対し、以下の検査をします:RDNN Sアドレスが既にDNSサーバリストに存在しRDNSSオプションの寿 命がゼロならば、RDNSSアドレスが何らかのネットワーク管理の理由、 例えばRDNSSの故障や番号付け直しの状況であり、使用されるのを避 けるために、対応するRDNSS項目をDNSサーバリストとリゾルバ倉 庫から削除します、このRDNSSアドレスの処理はここで終わります。 そうでなければ手順(c)を行います。 Step (c): For each RDNSS address, if it already exists in the DNS Server List, then just update the value of the Expiration-time field according to the procedure specified in the second bullet of Section 6.1. Otherwise, go to Step (d). 手順(c):各RDNSSアドレスに対し、もしDNSサーバリストに既に存 在知るなら、6.1章の2つ目の丸で弾丸で指定された手順に従って、期 限フィールドを更新してください。さもなければ手順(d)を行います。 Step (d): For each RDNSS address, if it does not exist in the DNS Server List, register the RDNSS address and lifetime with the DNS Server List and then insert the RDNSS address in front of the Resolver Repository. In the case where the data structure for the DNS Server List is full of RDNSS entries, delete from the DNS Server List the entry with the shortest expiration time (i.e., the entry that will expire first). The corresponding RDNSS address is also deleted from the Resolver Repository. In the order in the RDNSS option, position the newly added RDNSS addresses in front of the Resolver Repository so that the new RDNSS addresses may be preferred according to their order in the RDNSS option for the DNS name resolution. The processing of these RDNSS addresses is finished here. Note that, in the case where there are several routers advertising RDNSS option(s) in a subnet, the RDNSSes that have been announced recently are preferred. 手順(d):各RDNSSアドレスに対し、これがDNSサーバリストに存 在しないなら、DNSサーバリストにRDNSSアドレスと寿命を登録し、 リゾルバ倉庫の先頭にRDNSSアドレスを追加します。DNSサーバリ ストのデータ構造がRDNSS項目でいっぱいである場合、DNSサーバ リストから最も期限が早い項目(すなわち、最初に期限切れになる項目) れるエントリー)を削除してください。対応するRDNSSアドレスはリ ゾルバ倉庫から削除します。RDNSSオプションにおける順序に従い、 DNS名前解決がRDNSSオプション内の位置に従って新しいRDNS Sアドレスを優先するように、新たに加えられたRDNSSアドレスリゾ ルバ倉庫の先頭に置いてください。これらのRDNSSアドレスの処理は ここで終わります。いくつかのルータがサブネットで複数のルータ広告R DNSSオプションを広告する場合、新しく広告されたものが優先になる ことに注意してください。 Step (e): Delete each expired entry from the DNS Server List, and delete the RDNSS address corresponding to the entry from the Resolver Repository. 手順(e):DNSサーバリストから各期限切れ項目を削除してください、 そして、リゾルバ倉庫から項目に対応するRDNSSアドレスを削除して ください。 7. Security Considerations 7. セキュリティの考察 The security of the RA option for RDNSS might be worse than ND protocol security [2]. However, any new vulnerability in this RA option is not known yet. In this context, it can be claimed that the vulnerability of ND is not worse and is a subset of the attacks that any node attached to a LAN can do independently of ND. A malicious node on a LAN can promiscuously receive packets for any router's MAC address and send packets with the router's MAC address as the source MAC address in the L2 header. As a result, L2 switches send packets addressed to the router to the malicious node. Also, this attack can send redirects that tell the hosts to send their traffic somewhere else. The malicious node can send unsolicited RA or Neighbor Advertisement (NA) replies, answer RS or Neighbor Solicitation (NS) requests, etc. Also, an attacker could configure a host to send out an RA with a fraudulent RDNSS address, which is presumably an easier avenue of attack than becoming a rogue router and having to process all traffic for the subnet. It is necessary to disable the RA RDNSS option in both routers and clients administratively to avoid this problem. All of this can be done independently of implementing ND. Therefore, it can be claimed that the RA option for RDNSS has vulnerabilities similar to those existing in current mechanisms. RDNSSのためのルータ広告オプションのセキュリティは、近隣探索プロト コルのセキュリティ[2]より悪いかもしれません。しかしながら、このルータ 広告オプションにおける新しい脆弱性はまだ知られていません。この状況で、 近隣探索の脆弱性が悪くなく、近隣探索とは無関係に、LANに接続できる ノードの行える攻撃の一部ができるだけだと主張できます。LAN上の悪意 があるノードは、でたらめにルータのMACアドレスのパケットを受信し、 ルータのMACアドレスをL2ヘッダのソースMACアドレスとしたパケッ トを送ることができます。その結果、L2スイッチはルータ宛てのパケット を悪意があるノードに送ります。また、この攻撃で、ホストがトラヒックを 他に送る事になるリダイレクトを送れます。悪意があるノードは要請されて いないルータ広告や近隣広告(NA)応答をや、ルータ要請や近隣要請(N S)への回答、などを送ることが出来ます。また、攻撃者は詐欺RDNSS アドレスを含むルータ広告を送るようにホストを設定でき、これはおそらく、 サブネットのためにすべてのトラフィックを処理するより簡単な方法ですこ の問題を避けるためにルータとクライアントの両方で管理的にルータ広告の RDNSSオプションを無効にする必要があります。近隣探索を実装するこ とと独立にこのすべてができます。したがって、RDNSSのためのルータ 広告オプションには現在のメカニズムに存在するものと同様の脆弱性がある と主張できます。 If the Secure Neighbor Discovery (SEND) protocol is used as a security mechanism for ND, all the ND options including the RDNSS option are automatically included in the signatures [11], so the RDNSS transport is integrity-protected. However, since any valid SEND node can still insert RDNSS options, SEND cannot verify who is or is not authorized to send the options. 安全な近隣探索(SEND)プロトコルが近隣探索のセキュリティ対策として使用 されるなら、RDNSSオプションを含むすべての近隣探索オプションが署 名[11]に自動的に含まれているので、RDNSS伝達は安全に保護されてい ます。しかしながら、正当なSENDノードはまだRDNSSオプションを 挿入できる、SENDは誰がオプションを送る事が許されていて、誰が許さ れていないかを確かめることができません。 8. IANA Considerations 8. IANAの考慮 The IANA has assigned a new IPv6 Neighbor Discovery Option type for the RDNSS option defined in this document. IANAは、この文書で定義したRDNSSオプションのために、IPv6 近隣探索オプション種別を割当てました。 Option Name Type RDNSS option 25 The IANA registry for these options is: このオプションのためのIANA登記所は以下です: http://www.iana.org/assignments/icmpv6-parameters 9. Acknowledgements 9. 謝辞 This document has greatly benefited from inputs by Robert Hinden, Pekka Savola, Iljitsch van Beijnum, Brian Haberman and Tim Chown. The authors appreciate their contributions. この文書はRobert HindenとPekka SavolaとIljitsch van BeijnumとBrian HabermanとTim Chown からの入力に大きな利益を得ました。作者は彼らの 貢献に感謝します。 10. References 10. 参考文献 10.1. Normative References 10.1. 参照する参考文献 [1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997. [2] Narten, T., Nordmark, E., Simpson, W., and H. Soliman, "Neighbor Discovery for IP version 6 (IPv6)", RFC 4861, September 2007. [3] Thomson, S., Narten, T., and T. Jinmei, "IPv6 Stateless Address Autoconfiguration", RFC 4862, September 2007. 10.2. Informative References 10.2. 有益な参考文献 [4] Mockapetris, P., "Domain Names - Concepts and Facilities", RFC 1034, November 1987. [5] Mockapetris, P., "Domain Names - Implementation and Specification", RFC 1035, November 1987. [6] Droms, R., Ed., "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003. [7] Droms, R., "Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6", RFC 3736, April 2004. [8] Droms, R., Ed., "DNS Configuration options for Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3646, December 2003. [9] Jeong, J., Ed., "IPv6 Host Configuration of DNS Server Information Approaches", RFC 4339, February 2006. [10] Johnson, D., Perkins, C., and J. Arkko, "Mobility Support in IPv6", RFC 3775, June 2004. [11] Arkko, J., Ed., "SEcure Neighbor Discovery (SEND)", RFC 3971, March 2005. [12] ANSI/IEEE Std 802.11, "Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications", March 1999. [13] IEEE Std 802.11a, "Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: High-speed Physical Layer in the 5 GHZ Band", September 1999. [14] IEEE Std 802.11b, "Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Higher-Speed Physical Layer Extension in the 2.4 GHz Band", September 1999. [15] IEEE P802.11g/D8.2, "Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Further Higher Data Rate Extension in the 2.4 GHz Band", April 2003. [16] Damas, J. and F. Neves, "Preventing Use of Recursive Nameservers in Reflector Attacks", Work in Progress, July 2007. [17] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, May 2000. Authors' Addresses 著者のアドレス Jaehoon Paul Jeong (editor) ETRI/Department of Computer Science and Engineering University of Minnesota 117 Pleasant Street SE Minneapolis, MN 55455 USA Phone: +1 651 587 7774 Fax: +1 612 625 0572 EMail: jjeong@cs.umn.edu URI: http://www.cs.umn.edu/~jjeong/ Soohong Daniel Park Mobile Convergence Laboratory SAMSUNG Electronics 416 Maetan-3dong, Yeongtong-Gu Suwon, Gyeonggi-Do 443-742 Korea Phone: +82 31 200 4508 EMail: soohong.park@samsung.com Luc Beloeil France Telecom R&D 42, rue des coutures BP 6243 14066 CAEN Cedex 4 France Phone: +33 02 3175 9391 EMail: luc.beloeil@orange-ftgroup.com Syam Madanapalli Ordyn Technologies 1st Floor, Creator Building, ITPL Bangalore - 560066 India Phone: +91-80-40383000 EMail: smadanapalli@gmail.com Full Copyright Statement 完全著作権表示 Copyright (C) The IETF Trust (2007). 著作権(C)IETF信託(2007)。 This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights. この文書はBCP78に含まれる権利と許可と制限の適用を受け、そして この中に明らかにされる以外は著者がすべての権利を維持します。 This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. この文書とここに含まれる情報はあるがままに供給されます、貢献者と貢献 者が代表するか貢献者を後援する組織(もしあれば)とインターネット学会 とIETF信託とインターネット技術標準化タスクフォースは、明確にも暗 黙にも、この情報の使用が権利の侵害しないことや商業利用や特別の目的へ の利用に適当である事の保障を含め、全ての保証を拒否します。 Intellectual Property 知的所有権 The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79. この文書に記述された実装や技術に関して主張される知的財産権や他の権利の 正当性や範囲について、この様な権利の元でライセンスが利用可能か利用不 可能かの範囲について、IETFは何の立場もとりません;この様な権利を 認識する独立の調査をしたとは述べません。RFC文書の権利に関する手続 きの情報はBCP78とBCP79を見てください。 Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr. IETF事務局に公開されたIPRの写しと、利用可能な許可証と、仕様書 の実装者や利用者によってされた一般的な許可書や許可を得るためにされた 試みの結果は、http://www.ietf.org/iprにあるIETFオンラインIPR 貯蔵庫で得られます。 The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org. IETFは興味を持った誰からでもこの標準を実行するのに必要な技術をカ バーする著作権や特許や特許出願や他の所有権の注意を持ってくるように求 めます。どうかietf-ipr@ietf.orgのIETFに情報を伝えてください。